© ORF.at, Internet-Sicherheitsbericht 2010

CERTs stellen ersten Sicherheitsbericht vor

NETZ
23.09.2010

Die österreichischen IT-Sicherheitsorganisationen CERT.at und GovCERT haben am Donnerstag in Wien den ersten Bericht über ihre Tätigkeiten vorgestellt. Das Fazit: Obwohl Schadsoftware wie der "Conficker"-Wurm die Experten in den ersten zwei Jahren seit Gründung der beiden Organisationen auf Trab gehalten hat, sieht sich Österreich bei der IT-Sicherheit im internationalen Spitzenfeld.

Zu Beginn der Veranstaltung wies Christian Rupp, Sprecher der E-Government-Plattform "Digitales Österreich", darauf hin, wie wichtig der Schutz der kritischen IT-Infrastruktur in Österreich ist. Bei zahlreichen Verwaltungsvorgängen gebe es keine "analogen" Originaldokumente mehr und auch das Bundesgesetzblatt sei "nur noch in elektronischer Form authentisch vorhanden". Bei der Digitalisierung der staatlichen Verwaltung gebe es "kein Zurück". Allein auf Bundesebene gebe es bereits 1.200 elektronische Formulare, hinter denen entsprechende voll digital abgewickelte Verwaltungsvorgänge steckten.

Robert Schischka, Leiter von CERT.at, erläuterte die Funktion seiner seit zwei Jahren bestehenden Organisation. "Wir sind eine Gruppe spezialisierter Techniker, die als Informationsdrehscheibe und konstanter Ansprechpartner in Sicherheitsfragen dient", so Schischka. CERT.at wird von der heimischen Domain-Registry nic.at betrieben. Wie das Regierungspendant GovCERT ist die Organisation seit 2008 in Betrieb, die beiden Stellen arbeiten im Sinn einer "Public-Private-Partnership" zusammen. CERT steht dabei für Computer Emergency Response Team. "Ein kleines Land wie Österreich kann es sich nicht leisten, in diesem Bereich Parallelstrukturen zu unterhalten", so Roland Ledinger, Leiter des Bereichs IKT-Strategie des Bundes im Bundeskanzleramt und Chef von GovCERT. GovCERT ist auch für den Kontakt zu Sicherheitsorganisationen anderer Staaten zuständig, etwa zur EU-Agentur ENISA.

Der Internetsicherheitsbericht soll künftig jährlich erscheinen. Er kann kostenlos von CERT.at heruntergeladen werden.

Beispiel "Conficker"

Als prominentes Beispiel für die Tätigkeit der beiden Agenturen führten Schischka und Ledinger den besonders fortpflanzungsfreudigen Wurm "Conficker" an, der im Jänner 2009 vor allem in Kärntner Netzwerken wütete. "In Kärnten konnten die Ämter deshalb 14 Tage lang keine Pässe mehr ausstellen", erinnerte Ledinger. Er lobte aber die Kärntner Landesregierung, diese sei mit dem Problem schnell und offen umgegangen. Als eine der Maßnahmen, die aus der "Conficker"-Bekämpfung hervorgegangen sei, führte Ledinger die Einführung einer Art "IT-Feuerwehr" an, es gebe nun eine aktuell gehaltene Telefonliste mit allen IT-Sicherheitsexperten in den Ländern, die bei akuten Problemen nun schnell verständigt und freiwillig eingesetzt werden könnten.

Schischka wies darauf hin, dass "Conficker" immer noch nicht vollständig besiegt sei. Gerade ältere Varianten des Wurms tauchten immer wieder auf, da viele Nutzer ihre Rechner nicht immer auf aktuellem Stand halten würden. "Wir wissen auch noch nicht, zu welchem Zweck 'Conficker' überhaupt programmiert worden ist", so der CERT.at-Leiter. Laut Sicherheitsbericht gibt es immer noch rund 12.000 Rechner in Österreich, die mit den Varianten "Conficker.A" oder "Conficker.B" infiziert seien.

Für das akademische Netz in Österreich ist das CERT des ACOnet zuständig. Es ist bereits 2003 gegründet worden und wird vom Zentralen Informatikdienst der Universität Wien betrieben.

Professionalisierung der IT-Verbrecher

Im internationalen Vergleich stehe Österreich bei der Infektionshäufigkeit laut Microsoft-Sicherheitsberichten sehr gut da. Dazu trage bei, dass es hierzulande vergleichsweise wenige unlizenzierte Kopien von Betriebssystemen gebe und viele Nutzer die automatischen Update-Mechanismen aktiviert hätten. Auch die österreichischen Provider reagierten im internationalen Vergleich sehr schnell auf Angriffe. Nach Einführung des Mobile-TAN-Systems durch die österreichischen Banken seien auch die Phishing-Attacken stark zurückgegangen.

Laut Schischka sei der früher dominante Typ des einsamen "Black-Hat"-Hackers in der Herstellung von Schadsoftware von arbeitsteiligen kriminellen Organisationen ersetzt worden. Bei Software wie "Conficker" seien "exzellent ausgebildete" Protagonisten am Werk gewesen, die stets die neuesten kryptographischen Methoden verwendet hätten. Man habe es auch mit zunehmend ausgefeilter Schadsoftware zu tun wie dem "Rootkit Stuxnet", das Industrieanlagen befällt und immerhin vier Zero-Day-Exploits ausnutzt. "Über Stuxnet wissen wir momentan gar nichts", musste Schischka zugeben. Das habe allerdings auch mit der mangelnden Transparenz seitens der beteiligten Firmen zu tun.

Werkzeug Telefon

Bei der Bekämpfung von Bedrohungen wie "Conficker" setzen die heimischen Sicherheitsorganisationen vor allem auf Aufklärung und Vertrauensbildung. Die internationale Zusammenarbeit zwischen den Experten läuft dabei primär über persönliche Kontakte. Schischka: "Die Telefonliste ist unser wichtigstes Werkzeug." Man könne in diesem Bereich die Vorgänge nur bis zu einem bestimmten Grad formalisieren, etwa durch regelmäßige Expertentreffen, wie sie die EU-Sicherheitsagentur ENISA in ihrem vergangene Woche veröffentlichten Bericht vorgeschlagen hat.

In Österreich funktioniere die IT-Sicherheit auch deshalb vergleichsweise gut, weil die Protagonisten einander persönlich gut kennen würden. Auch auf EU-Ebene sei österreichisches Know-how gefragt, so Rupp. Es sei eines von vier Ländern, die im Auftrag der EU-Kommission bis Ende des Jahres ein Konzept für die europaweite Kooperation der nationalen CERTs ausarbeiten würden. Weiter auf dem Plan sind gemeinsame Sicherheitsübungen der CERTs mit Behörden und Unternehmen.

Sicherheit ins Pflichtenheft

Speziell die Kommunikation mit kleineren und mittleren Unternehmen wollen die CERTs in naher Zukunft verbessern. Für November ist die Veröffentlichung eines neuen IT-Sicherheitshandbuchs geplant, das gemeinsam mit der Wirtschaftskammer erstellt und verbreitet werden soll. Dieses soll dabei helfen, das Sicherheitsbewusstsein in den Unternehmen zu erhöhen. "Sicherheitsaspekte sind oft nicht Bestandteil von Pflichtenheften bei der Erstellung von Websites", so Schischka, "Dabei muss man, um Gefahren wie Cross-Site-Scripting abzuwehren, die Sicherheit schon von Anfang an mit einplanen." Sicherheitsaspekte müssten genauso Bestandteil der Planung werden wie etwa Maßnahmen zur Barrierefreiheit. "Auf staatlicher Seite können wir das über das Vergaberecht regeln", so Ledinger.

Was die Endnutzer betrifft, so würden nur Verfeinerung und Ausbau der Sicherheitssysteme helfen, die bereits in Computer und Smartphones integriert seien. Leider gebe es immer noch zu wenig Sicherheitsbewusstsein bei den Endverbrauchern. Christian Rupp setzt hier auf Information und Aufklärung bereits in den Schulen. Ledinger und Schischka wollen die Informationen für die Endverbraucher verbessern, allerdings sei man aus Kapazitätsgründen zunächst auf die Kooperation mit Behörden und Unternehmen beschränkt.

(futurezone/Günter Hack)